Private und geschäftliche Konten der Postbank können unter einer einheitlichen ID verwaltet werden. Durch die Einrichtung von Profilen / Sub-IDs wird eine hinreichende Trennung gewährleistet.
Die Verbindung von privaten und geschäftlichen Konten unter einer einheitlichen Postbank ID hat zu einigen datenschutzrechtlichen Beschwerden geführt. Bemängelt wurde insbesondere, dass eine hinreichende Trennung zwischen privaten und geschäftlichen Konten nicht gewährleistet sei. Beide Kontenarten würden zwangsweise miteinander verkoppelt.
Wenn etwa Beschäftigte auf dem heimischen Privat-PC Online-Banking betreiben, sei der unmittelbare Zugriff sowohl auf alle privaten als auch auf alle geschäftlichen Konten möglich. Dann könnten auch andere Familienmitglieder geschäftliche Konten des Arbeitgebers einsehen. Da das Direktionsrecht den Arbeitgeber nicht berechtigt, Anforderungen bzgl. Sicherheitsmaßnahmen für private PCs aufzustellen, sei fraglich, ob unter Risikogesichtspunkten in derartigen Fällen ein Zugriff über eine separate Postbank ID erforderlich sei.
Die Beschwerden waren Anlass, das Verfahren näher zu betrachten. Dabei zeigte sich die Postbank kooperativ. Das Verfahren wurde in einem persönlichen Vor-Ort-Termin im Postbank Vertriebscenter in Wiesbaden vorgestellt und erläutert. Es konnte festgestellt werden, dass – entgegen der Befürchtungen – eine hinreichende Trennung zwischen privaten und geschäftlichen Kontenzugriffen sichergestellt ist.
Im Einzelnen konnte ich es so, dass jeder Nutzer eine einheitliche Postbank ID erhält, mit welcher sowohl private als auch geschäftliche Konten verwaltet werden können. Diese Postbank ID verfügt als Erweiterung über sogenannte „Profile“ (Sub-IDs). Dabei handelt es sich um voreingestellte Filter zu den vergebenen Zugriffsberechtigungen. Jedem Nutzer wird zu jedem Kontoinhaber, auf dessen Konten zugegriffen wird, ein Profil zugeordnet. Nach dem Login mit Postbank ID und Passwort erhält der Nutzer für das angelegte geschäftliche Profil zunächst eine Mitteilung mit dem Namen des Profils und einer Anleitung für die Nutzung des Profils. Die zugeordneten Profile können in der Profilverwaltung verwaltet werden. Dort sind alle vorhandenen Profile – unterteilt nach privaten und geschäftlichen Profilen – aufgelistet. Buchungen können nur mit den zugehörigen Konten des jeweiligen Profils durchgeführt werden.
Ein Wechsel zwischen privaten und geschäftlichen Konten kann auf zwei verschiedene Arten geschehen, zum einen durch einen sog. „indirekten Wechsel“ und zum anderen durch einen sog. „direkten Wechsel“. Die gewünschte Variante kann in der Profilverwaltung festgelegt werden.
Als Standardeinstellung ist für einen Zugriff auf ein geschäftliches Konto ein „indirekter Wechsel“ vorgesehen. Das bedeutet, dass bei einem Login neben der Postbank ID auch der Profilname anzugeben ist, um die zugehörigen Konten einzusehen. Für einen Wechsel zu privaten bzw. geschäftlichen Konten müssen sich die Nutzer zunächst ausloggen und anschließend wieder neu einloggen. Diese Voreinstellung führt dazu, dass der Zugang zu privaten Konten nur über den Login mit der Postbank ID und für die geschäftlichen Konten nur mit der entsprechenden Erweiterung je Geschäftskonto möglich ist. Entsprechende Profile werden je nach Berechtigung automatisch für die betroffenen Kunden erstellt und diesen als Nachricht im Online-Banking als Vorschaltseite mitgeteilt. Zudem sind die entsprechenden Profile im Online-Banking in der Profilverwaltung zu finden. Diese Variante gewährleistet eine hinreichende Trennung zwischen geschäftlichen und privaten Konten und ist damit datenschutzrechtlich unproblematisch.
Beispiel: Herr Mustermanns Postbank ID lautet „Mustermann1“. Der Profilname des Unternehmens lautet „Unt“. Dann erfolgt der Login in das private Konto über „Mustermann1“ und in das geschäftliche Konto über „Mustermann1#Unt“. Das Passwort für das geschäftliche Konto ist dasselbe wie für das private Konto. Nach dem Login über „Mustermann1#Unt“ sieht Herr Mustermann ausschließlich das geschäftliche Konto. Zudem erscheint der Hinweis „Angemeldet als #Unt“.
Es kann auch eingestellt werden, dass ein „direkter Wechsel“ zwischen privatem und geschäftlichem Profil stattfindet. Diese Einstellung müssen die Nutzer zunächst aktiv auswählen. Dabei ist ein gesonderter Login mit Postbank ID und Profilname nicht mehr notwendig. Um Profile über den direkten Wechsel zu erreichen, müssen die Nutzer nach dem Login mit der Postbank ID (ohne Profilnamen) auf das Profilsymbol und dann auf „Profil wechseln“ klicken. Anschließend klicken sie auf das entsprechende Profil. Es kann also ohne vorherigen Logout direkt zwischen geschäftlichem und privatem Konto gewechselt werden. Auch dann erfolgt eine getrennte Übersicht der geschäftlichen und privaten Konten. Wenngleich diese Variante ein datenschutzrechtlich geringeres Schutzniveau als der indirekte Wechsel bietet, ist gleichwohl noch eine hinreichende Trennung zwischen privaten und geschäftlichen Konten gewährleistet.
Geschäftskunden werden von der Postbank über das Verfahren der Postbank ID beraten. Wenn sowohl ein privates als auch ein geschäftliches Konto eines Kunden besteht, sollte es bei dem indirekten Kontenwechsel verbleiben.
Arbeitgebern wird empfohlen, dies grundsätzlich in einer betrieblichen Regelung für ihre Beschäftigten festzuhalten. Eine Nachfrage bei den einzelnen Beschäftigten, ob diese auch über ein privates Konto bei der Postbank verfügen, ist dagegen datenschutzrechtlich unzulässig.
Quelle: HBDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks